Inicio
Buscar
Ingresar
Registrarse
Starfield: el juego que revolucionará el espacio y la tecnología
Hack x Crack - Comunidad de Seguridad informática
»
Seguridad Informatica
»
Seguridad
»
Analisis de Malware (Programas) (Parte 2)
Imprimir
Páginas: [
1
]
Ir Abajo
Autor
Tema: Analisis de Malware (Programas) (Parte 2) (Leído 3082 veces)
2Fac3R
Visitante
Analisis de Malware (Programas) (Parte 2)
«
en:
Abril 23, 2011, 09:33:49 pm »
Seguimos con la parte 2
WireShark
WireShark es, probablemente, el analizador de tráfico de red más conocido y usado entre todos los existentes. Y tras diez años de desarrollo, que empezó con el nombre de Ethereal, por fin ha llegado a la versión 1.0.
En ella, además de un montón de correcciones de errores, se ha añadido soporte oficial para Mac OS X de forma experimental, uso de columnas personalizables y un montón de nuevos protocolos, por lo que habrá pocos que este programa no sea capaz de analizar.
Una aplicación imprescindible para aquellos que hayan necesitado alguna vez examinar el tráfico que pasa por la red, ya sea para determinar como funciona una aplicación, porque está fallando o por simple curiosidad de saber el formato de un protocolo.
Descargar
-->
http://www.wireshark.org/download.html
..::MODO DE USO::..
Manual Wireshark
1.-Cuando abrimos por primera vez el programa se muestra y detalla la interfaz de usuario y como se aplican las principales funciones de WireShark (Capturar, Desplegar y Filtrar paquetes).
File -> contiene las funciones para manipular archivos y para cerrar la aplicación Wireshark.
Edit -> este se puede aplicar funciones a los paquetes, por ejemplo, buscar un paquetes especifico, aplicar una marca al paquete y configurar la interfaz de usuario.
View -> permite configurar el despliegue del paquete capturado.
Go -> Desde aquí permiten ...
Capture -> para iniciar y detener la captura de paquetes.
Analyze -> desde analyze podemos manipular los filtros, habilitar o deshabilitar protocolos, flujos de paquetes, etc.
Statistics -> podemos definir u obtener las estadísticas del trafico capturado.
Help -> menú de ayuda.
A continuación empezaremos con la aplicación más sencilla que podemos utilizar en el programa.
Capturar paquetes IP
WireShark cuenta con tres maneras para iniciar la captura de los paquetes:
·Haciendo doble clic en
se despliega una ventana donde se listan las interfaces locales disponibles para iniciar la captura de paquetes.
Tres botones se visualizan por cada interfaz
Start -> para iniciar
Options -> para configurar
Details -> proporciona información adicional de la tarjeta como su descripción, estadísticas, etc.
Otra opcion es Otra seleccionar el icono
en la barra de herramientas, y abrimos la siguiente ventana donde se muestra opciones de configuración para la tarjeta de red.
O por ultimo en el caso que se haya predefinido las opciones de la tarjeta, haciendo clic en
se inicia la captura de paquetes inmediata.
Capture/start
Cuando pulsamos a start nos muestra esta pantalla.
La información se organiza de la siguiente forma.
primera columna[N.o]-> muestra el número de paquetes que enviamos o recibimos.
Segunda columna[Time] ->s el tiempo que tarda en transmitirse el paquete de datos.
Tercera columna[Source]-> la ip origen.
Cuarta columna[Destination]-> la ip destino.
Quinta columna[Protocol]-> El protocolo que utiliza en esa transmisión (especificaciones pag..)
Sexta columna[info.]-> Nos muestra una pequeña información sobre el paquete de datos.
En la parte que he señalado en azul-> Contiene el protocolo y los campos correspondientes del paquete previamente seleccionado en el panel de paquetes capturados[Gris]. Seleccionando una de estas líneas con el botón secundario del Mouse se tiene opciones para ser aplicadas según las necesidades.
En la parte que he señalado en amarillo-> En este panel se despliega el contenido del paquete en formato hexadecimal.
Wireshark tiene otra funcion importante y es la campura de paquetes pero con filtrado.
Filtrar paquetes IP.
Para guardar o abrir un filtro existente se debe seleccionar Display Filter en el menú Analyze o Capture Filter que se encuentra en el menú Capture.
Capture/filter
Para definir un filtro pulsamos un nombre de la lista que tenemos y solo nos filtrara aquello que allamos seleccionado
Analizando un paquete.
El paquete que voy a analizar va a ser un envio de trafico Ping.
cmd-> ping 192.168.2.21 [cualquier ip]
En la captura vemos que al hacer ping tenemos dos clases de protocolos diferentes: ARP y ICMP.
ARP -> para poder llegar al nodo correspondiente se necesita que la tabla ARP se rellene y mas tarde el ping se ara correctamente.
ICMP -> en lo que vemos que corresponde al protocolo ICMP es los ping que se han hecho a un nodo.
Mediante ping comprobamos la correcta conectividad entre equipos. Observamos que en la columna de info pone request y replay. La línea de request la enviamos desde nuestro nodo y replay es la contestación a nuestra trama.
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
TCPView (Por Setrix)
TCPView es un programa que muestra información detallada de los protocolos TCP y UDP del sistema, incluyendo las direcciones locales y remotas y el estado de las conexiones TCP.
En Windows NT, 2000 y XP TCPView también muestra el nombre del proceso que realiza la conexión.
TCPView muestra más información que Netstat, que viene incluido en Windows. Al descargar TCPView también podrás usar Tcpvcon, que es una utilidad que tiene las mismas funcionalidades, pero se usa en la consola de comandos.
Cuando ejecutas TCPView, éste muestra una lista con todas las conexiones TCP y UDP activas, resolviendo todas las direcciones IP y mostrando el nombre de dominio. Por defecto TCPView se actualiza cada segundo pero puedes cambiar la frecuencia de actualizado. También podrás cerrar conexiones TCP/IP establecidas (las que están etiquetadas con ESTABLISHED). Además puedes guardar la salida en un fichero de texto.
Una buena herramienta para monitorizar la conexión de red.
Descargar
-->
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Sanbox (Por Setrix)
Sandboxie 3 ejecuta tus programas de tu PC dentro de un aislado espacio previniendo así cambios permanentes en tu sistema. Este espacio sería una especie de “caja de arena” o sandbox (de allí el nombre
¿Ventajas? Obviamente:
*
Navegado seguro en internet: Con el browser abierto bajo la supervisión de Sandboxie, todo archivo que resulte malicioso quedará atrapado en la caja de arena (sandbox, en este caso, espacio virtual aislado).
*
Privacidad garantizada: Historial, cookies, archivos temporales; todo todo todo, quedará dentro de la sandbox, y no dentro de Windows.
*
Seguridad de Windows: Podras instalar programas dentro de tu sandbox, para que lo ejecutes desde allí, sin temor a que ocurra algo desastroso en tu PC.
Resumen de Sandboxie 3 descargar con serial:
* Nombre oficial: Sandboxie 3
* Build: 3.44 (última versión 2010)
* Idioma: Multilenguaje (Español incluido)
* Peso: 1,5 MB
* SO: Windows XP / Windows Vista / Windows Seven
Descargar
-->
http://www.fileserve.com/file/EqQCw9d
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Deep Freeze es un controlador del núcleo que protege la integridad del disco duro redirigiendo la información que se va a escribir en el disco duro o partición protegida, dejando la información original intacta. Las escrituras redirigidas desaparecen cuando el sistema es reiniciado, restaurando el equipo a su estado original. Esto permite a los usuarios realizar cambios virtuales en el equipo, por ejemplo para probar cambios potencialmente inestables o peligrosos, sabiendo que al reiniciar el sistema volverá a estar intacto.
Para realizar cambios el sistema se debe descongelar, desactivando Deep Freeze, de forma que los subsiguientes cambios sean permanentes.
Deep Freeze puede restaurar ciertos daños provocado por el malware y virus ya que tras el reinicio cualquier cambio hecho por el software malicioso puede quedar eliminado del sistema al ser revertido al estado original (junto con cualquier otro tipo de modificaciones que se hayan hecho). Sin embargo, esto no impide que un virus ó malware se desarrolle mientras que no se reinicie el sistema, ó que el virus afecte a una partición que no esté protegida, o que se coloque en el registro del Deep Freeze como archivo que estaba previamente en el sistema.
Descargar
-->
http://www.faronics.com/es/DownloadEvaluationEditions.aspx
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
==================
Editores Hexadecimales
==================
Descargar
-->
http://download.cnet.com/Hex-Workshop/3000-2352_4-10004918.html?part=dl-HexWorksh&subj=dl&tag=button
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Descargar
-->
http://www.chmaas.handshake.de/delphi/freeware/xvi32/xvi32.htm#download
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
==================
Desambladores
==================
Descargar -->
http://www.ollydbg.de/download.htm
.
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Post Originario por
Antrax
.
Fuente
: Indetectables.net
En línea
The_GanGsTar
{ L4 } Geek
Mensajes: 391
Me gustan los panqueques
Re:Analisis de Malware (Programas) (Parte 2)
«
Respuesta #1 en:
Septiembre 29, 2011, 06:53:35 am »
Exelente post
muy buen redactado y explicado
En línea
Imprimir
Páginas: [
1
]
Ir Arriba
Hack x Crack - Comunidad de Seguridad informática
»
Seguridad Informatica
»
Seguridad
»
Analisis de Malware (Programas) (Parte 2)
Va un mudo y le dice a un sordo: Hack x Crack usa cookies. Pues eso...
OK
Learn more